一種自動識別流量并提取應用規則的裝置涉及信息技術領域，尤其是網絡監管的流量自動識別領域。本發明由流量分類模塊、流量過濾模塊、http流量自動學習分析模塊、非http流量特征提取模塊組成；流量分類模塊由流量對比器和http流量特征表組成；流量過濾模塊由流量過濾器、流量規則指紋庫組成；http流量自動學習分析模塊由流量類型判斷模塊、特征字符串匹配分析器、域名和網頁title分析器、服務器ip地址分析器組成；非http流量特征提取模塊由非http流量記錄器和16進制特征轉換器組成。本發明在沒有提供流量模型指紋的情況下可以實現通過自動學習分析網絡流量識別出網絡應用流量類型，并且自動學習到的流量特征能生成規則特征庫。本發明的推廣可以減少人員的工作量，提高工作效率。

技術領域

本發明涉及信息技術領域，尤其是網絡安全監管方面的流量自動識別領域。

背景技術

隨著互聯網流量不斷擴充，從2G網，3G網，4G網，及后面演變到5G網，這種演變導致互聯網應用流量不斷擴容，流量的多樣化，再加上互聯網應用更新頻繁和新的互聯網應用快速誕生！網絡監管要面對這種龐大的網絡數據流和變化多端的網絡數據流量，用傳統的人工流量分析和應用規則提取，已經很難解決監管的及時性及網絡的安全性，并且投入大量的人力和時間也不能完全解決該問題，所以急需要一種新的方法應對該情況。

目前主要的方法是用互聯網流量與存在的流量模型指紋匹配來自動化識別。然而基于這種方法存在的缺點是：1.沒有考慮新的流量類型不斷增多，更新頻繁的流量類型沒有流量模型指紋匹配；2.流量模型指紋所依賴的特征規則庫無法自動生成；3.無法自動更新規則庫；4.無法快速自動識別網絡數據流量和流量趨勢圖。本發明在沒有提供流量模型指紋的情況下可以實現通過自動學習分析網絡流量識別出網絡應用流量類型，并且自動學習到的流量特征能生成規則特征庫。本發明的推廣可以減少人員的工作量，提高工作效率。

共有技術

HOST規則特征就是一個能表示應用網絡數據會話的負載中標準字段中host特征表達式，如百度的host規則特征是pkt.payload~Host:[-~]*\.baidu.com*\r\n。

域名正則匹配規則就是針對http流量中的代表域名字段（host）的匹配規則，如：pkt.payload~Host:[-~]*xxx*\r\n。

規則指紋庫就是以前分析總結出來的網絡應用的流量的規則特征庫。

http的標準頭部特征為http.request.method時，其值包括：GET，POST，HEAD，PUT，DELETE，OPTIONS，CONNECT，TRACE，PATCH，MOVE，COPY，LINK，UNLINK，WRAPPED，Extension-mothed。

標準字段是HTTP請求時，流量的頭部特征包括：Referer:，rf:，Origin:，Content-Type:，User-Agent:，Host:，userToken:，Cookie:，Q-UA2:，Q-GUID:，QQ-S-ZIP:，Apn-Type:，Date:，Pragma:，Range:，Location:，Server:，Last-modified:，PostData。

http的標準頭部特征的獨有屬性就是針對特殊應用自己獨有的HTTP的標準字段，例如：qyi-id是愛奇藝http流量獨有的，qqread是騰訊閱讀http流量獨有的。

HTTP流量與非HTTP流量及常用的流量抓取工具：

1.WireShark是一款常見的網絡數據包分析工具。該軟件可以在線截取各種網絡封包，顯示網絡封包的詳細信息，也可分析已有的報文數據，如由tcpdump/WinDump、WireShark等采集的報文數據。WireShark提供多種過濾規則，進行報文過濾。使用者可借助該工具的分析功能，獲取多種網絡數據特征。